На цьому тижні компанія Oracle виправила уразливість десеріалізації в WebLogic Server, яка дозволяє віддалено виконати код і активно використовується в атаках.
Проблема отримала ідентифікатор CVE-2019-2729 і повторює виправлену в квітні уразливість CVE-2019-2725, яку раніше використовували для поширення здирницького ПЗ Sodinokibi і майнера криптовалют.
Згідно повідомлення Oracle, уразливість можна проексплуатувати без авторизації. Проблема зачіпає версії WebLogic Server 10.3.6.0.0, 12.1.3.0.0 і 12.2.1.3.0. Небезпека уразливості оцінюється в 9,8 бала з 10.
Проблема була виявлена фахівцями команди 404 Team компанії KnownSec. За їх словами, уразливість CVE-2019-2729 базується на обході виправлення для CVE-2019-2725.
Уразливість пов’язана з компонентами “wls9_async” і “wls-wsat”. Якщо встановлення патча з яких-небудь причин не можливе, користувачі можуть або видалити їх, а потім перезапустити сервер WebLogic, або застосувати політики, що обмежують для URL доступ до теки “/_async/*” і “/wls-wsat/*”.
За даними системи ZoomEye, в 2019 році було розгорнуто близько 42 тис. встановлень Oracle WebLogic Server. Як показує Shodan, в online-доступі знаходяться 2,3 тис. серверів. Більшість серверів розташовані в Китаї і США.
До речі, додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.
Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.
Також дослідники попереджають про реєстрацію реальних атак з експлуатації уразливості нульового дня у браузері Mozilla Firefox. Користувачі повинні якомога швидше оновитися до версії 67.0.3 або 60.7.1.
Окрім цього, Microsoft випустила оновлення прошивки Intel для всіх підтримуваних версій Windows 10, які захищають від атак, що експлуатують уразливості Microarchitectural Data Sampling (MDS).